Cybervize - Cybersecurity Beratung

Smart Metering und das MsbG: Überblick

Smart MeteringCISOISMS ManagerGeschäftsführung MessstellenbetreiberSmart-Meter-Gateway-AdministratorCompliance-Verantwortliche Energieversorgung

Kernaussage

Das Messstellenbetriebsgesetz (MsbG) ist der rechtliche Rahmen für den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen. Es trat 2016 als Teil des Gesetzes zur Digitalisierung der Energiewende in Kraft und wurde 2023 grundlegend novelliert, um den Rollout zu beschleunigen.

Technisches Herzstück ist das intelligente Messsystem (iMSys): eine moderne Messeinrichtung (digitaler Zähler) mit einem Smart-Meter-Gateway (SMGW) als gesicherter Kommunikationseinheit. Die Sicherheit ist staatlich vorgegeben: Das SMGW wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Common Criteria zertifiziert, der Smart-Meter-Gateway-Administrator (GWA) weist ein zertifiziertes Managementsystem für Informationssicherheit (ISMS) nach. Für das Management heißt das: Produktsicherheit über das Gerät, Betriebssicherheit über den Administrator. Beide Stränge sind getrennt und decken sich nicht automatisch.

Problem in der Praxis

Smart Metering wird oft als Geräte- und Rollout-Thema verstanden: wie viele Zähler in welchem Zeitraum zu welchen Kosten. Die Sicherheitsarchitektur dahinter wird unterschätzt.

Tatsächlich verbindet das MsbG mehrere Ebenen: ein Gesetz mit Rollen und Pflichten, technische Richtlinien des BSI, Schutzprofile aus der Common-Criteria-Welt und ein zertifizierungspflichtiges ISMS für den Betrieb. Verbreitet ist die Annahme, die Bundesnetzagentur (BNetzA) sei für die SMGW-Sicherheit zuständig. Das ist sie nicht: Die Sicherheits- und Zertifizierungshoheit liegt beim BSI; die BNetzA wirkt regulatorisch und wirtschaftlich. Das fällt spätestens auf, wenn ein Messstellenbetreiber die GWA-Rolle übernehmen oder einkaufen will und damit eine zertifizierte ISMS-Pflicht trägt.

CISO-Einordnung

Sinnvoll ist es, die Architektur entlang von Rollen zu lesen:

  • Messstellenbetreiber (MSB): Der grundzuständige MSB ist meist der Verteilnetzbetreiber und zum gestuften Aufbau und Betrieb der Messstellen verpflichtet; daneben kann ein wettbewerblicher MSB beauftragt werden.
  • Smart-Meter-Gateway-Administrator (GWA): die zentrale sicherheitsrelevante Rolle; betreibt und administriert die Gateways (Inbetriebnahme, Konfiguration, Überwachung, Wartung), häufig durch den MSB selbst oder als Dienstleistung.
  • SMGW-Hersteller: Adressat der technischen Richtlinien zum Gerät und der Common-Criteria-Zertifizierung.

Die zentralen Paragraphen ordnen die Pflichten: Anbindung nach dem Stand der Technik (§ 19); Mindestanforderungen über Schutzprofile und technische Richtlinien, deren geltende Stände in einer Anlage zum Gesetz geführt werden (§ 22); Zertifizierung des SMGW durch das BSI im Common-Criteria-Verfahren (§ 24); Pflicht des GWA zum Nachweis eines zertifizierten ISMS, zur Verwendung nur zertifizierter SMGW und zur unverzüglichen Meldung von Sicherheitsmängeln an das BSI (§ 25). Das Gesetz nennt ISO/IEC 27001 nicht wörtlich; das BSI-Zertifizierungsschema für den GWA baut inhaltlich darauf auf, auch auf Basis des IT-Grundschutzes, ergänzt um die Richtlinie zur Gateway-Administration.

Umsetzungsperspektive

Die Sicherheitsarchitektur ruht auf drei Säulen, die der CISO sauber trennen sollte:

  • Produktsicherheit: Das SMGW wird gegen ein Schutzprofil nach Common Criteria vom BSI zertifiziert und enthält ein zertifiziertes Sicherheitsmodul als kryptographischen Anker. Verantwortung des Herstellers; er legt das Zertifikat dem GWA vor.
  • Kryptographie und PKI: Eine eigene Smart-Metering-PKI sichert die WAN-Kommunikation und die gegenseitige Authentisierung der Beteiligten. Das BSI betreibt die Root-CA als Vertrauensanker; darunter liegen die Sub-CAs der Marktteilnehmer.
  • Betriebssicherheit: Der GWA betreibt ein zertifiziertes ISMS, ergänzt um die betriebsspezifischen Anforderungen der Richtlinie zur Gateway-Administration (Prozesse, Rollen, Rechenzentrumsbetrieb, Dienstleister-Einbindung).

Netztechnisch gliedert sich das iMSys in lokales Messnetz (LMN), Heimnetz (HAN) und Weitverkehrsnetz (WAN); das SMGW ist die kontrollierte Schnittstelle dazwischen. Versionsstände der Schutzprofile und Richtlinien sowie Übergangs- und Umsetzungsfristen ändern sich und sind vor jeder verbindlichen Aussage an der aktuellen BSI-Übersicht zu prüfen.

Typische Fehler

  1. Die SMGW-Sicherheit der BNetzA zuordnen statt dem BSI.
  2. Annehmen, ein zertifiziertes GWA-ISMS decke automatisch auch die Produkt- und Krypto-Anforderungen des Geräts ab.
  3. Smart Metering als reines Rollout- und Kostenthema führen und die zertifizierungspflichtige GWA-Rolle unterschätzen.
  4. Konkrete Versionsstände, Quoten oder Stichtage aus Sekundärquellen als feststehend übernehmen.
  5. Eine mögliche zusätzliche Betroffenheit durch NIS2 beziehungsweise das BSIG übersehen.

Risiken und Trade-offs

Make-or-buy bei der GWA-Rolle ist strategisch: Eigenbetrieb gibt Kontrolle, bindet aber eine zertifizierte ISMS-Organisation und Spezialpersonal; Fremdbezug verlagert Aufwand, erzeugt aber Abhängigkeit und erfordert sauberes Lieferanten- und Nachweismanagement.

Zweitens die Aktualität: Rollout-Fahrplan, Quoten, Versionsstände und Fristen sind in Bewegung (grundlegende Novelle 2023; weitere Änderungen, etwa über die EnWG-Novelle 2025, sind am aktuellen MsbG-Text zu prüfen). Eine heute korrekte Aussage kann durch eine neue Richtlinienfassung oder Gesetzesänderung überholt werden.

Drittens die Mehrfachbetroffenheit: Energie ist ein NIS2-Sektor hoher Kritikalität. Das MsbG ist sektorspezifisches Sonderrecht, doch MSB und GWA können je nach Größe und Schwellen zusätzlich unter NIS2 beziehungsweise das BSIG fallen; dies ist im Einzelfall zu prüfen.

Entscheidungspunkte

  • Übernimmt das Unternehmen die GWA-Rolle selbst oder bezieht es sie als Dienstleistung?
  • Wie wird die getrennte Verantwortung für Produktsicherheit (§ 24) und Betriebssicherheit (§ 25) abgebildet?
  • Welche bestehende ISMS-Basis kann für die GWA-Zertifizierung genutzt und richtlinienspezifisch ergänzt werden?
  • Wer hält Versionsstände, Fristen und Paragraphenverweise gegen die amtlichen Quellen aktuell?
  • Besteht zusätzlich eine Betroffenheit durch NIS2/BSIG, und wie werden die Meldewege zum BSI organisiert?

Praktische Empfehlungen

  1. Ordnen Sie Zuständigkeiten korrekt zu: BSI für Sicherheit und Zertifizierung von SMGW und GWA, BNetzA für regulatorische und wirtschaftliche Fragen.
  2. Behandeln Sie Produkt- und Betriebssicherheit als getrennte, sich nicht automatisch überdeckende Nachweisstränge.
  3. Bauen Sie die GWA-Fähigkeit auf einer belastbaren ISMS-Basis auf und ergänzen Sie die Anforderungen der Gateway-Administrations-Richtlinie.
  4. Verifizieren Sie Versionsstände, Fristen und Quoten vor jeder verbindlichen Aussage an der BSI-Übersicht und am MsbG-Text.
  5. Prüfen Sie die Doppelbetroffenheit durch NIS2/BSIG und stimmen Sie sie mit dem EnWG-Track ab, insbesondere die Abgrenzung zum IT-Sicherheitskatalog der BNetzA.

Relevante Normreferenzen

  • MsbG (Messstellenbetriebsgesetz): amtliches Werk, frei zitierbar mit Quellenangabe; Rechtsgrundlage für Rollen, SMGW-Zertifizierung (§ 24) und GWA-Pflichten (§ 25).
  • BSI TR-03109 (alle Teile): amtliche BSI-Verlautbarung, frei nutzbar mit Quellenangabe; konkretisiert SMGW, Sicherheitsmodul, Kryptographie, PKI und Gateway-Administration. Keine vollständigen Anforderungslisten reproduzieren.
  • Common Criteria (ISO/IEC 15408) und BSI-Schutzprofile: nur referenzieren; die zugrunde liegende Norm ist lizenziert.
  • ISO/IEC 27001: Referenz für die ISMS-Grundlage des GWA-Zertifizierungsschemas; nur Verweis, keine Control-Listen.

Häufige Fragen

Wer ist für die Sicherheit des Smart-Meter-Gateways zuständig?+

Das BSI. Es zertifiziert SMGW und GWA-ISMS, erstellt die Richtlinien und Schutzprofile und betreibt die Root-CA der Smart-Metering-PKI. Die BNetzA ist dafür nicht zuständig.

Was ist der Unterschied zwischen Messstellenbetreiber und Gateway-Administrator?+

Der MSB baut und betreibt die Messstellen (grundzuständig meist der Verteilnetzbetreiber). Der GWA ist die zentrale sicherheitsrelevante Rolle, die die Gateways betreibt und administriert.

Deckt das zertifizierte GWA-ISMS auch die Gerätesicherheit ab?+

Nein. Das ISMS deckt den Betrieb ab. Die Produkt- und Krypto-Anforderungen laufen über die Common-Criteria-Zertifizierung des SMGW (§ 24) als getrennter Nachweisstrang.

Wie hängt Smart Metering mit dem EnWG-Track zusammen?+

Smart Metering ist Teil der Energie- und Netzdigitalisierung. Die Abgrenzung zum IT-Sicherheitskatalog der BNetzA nach EnWG und eine mögliche NIS2/BSIG-Betroffenheit sind im Einzelfall zu prüfen.

Vom Wissen zur Umsetzung

Die Cybervize-Plattform und unsere Beratung setzen Smart Metering prüffähig um: verbundene Daten von der Anforderung bis zum Nachweis, mit belegten Antworten statt Vermutungen.

Passende Leistung ansehen

Verwandte Artikel

Teil der Cybervize-Wissensbasis, Stand 8. Juli 2026. Aus dieser Wissensbasis beantwortet der vCISO-Assistent der Cybervize-Plattform allgemeine Fachfragen, mit Quellenangabe. Referenz: sm-001.